Несмотря на признание важности фреймворка MITRE ATT&CK, существует проблема, связанная с процессом его изучения. Главная сложность кроется в самой структуре фреймворка: таблица объемна и многослойна. Пользователи неизбежно вынуждены постоянно переключаться между подразделами для получения полной картины. Такой способ подачи информации сильно затрудняет линейное последовательное прочтение. Помимо этого, табличная форма изложения материала мешает сосредоточиться на общем понимании концепции, вынуждая фокусироваться лишь на отдельных элементах.

Еще одним серьезным препятствием становится языковой барьер: документация доступна на английском языке. Конечно, современному IT‑специалисту важно владеть английским, однако это не отменяет факта, что восприятие и усвоение материалов на родном языке проходит намного легче и эффективнее. Даже при хорошем уровне владения иностранным языком скорость обработки информации заметно снижается, что усугубляет трудности при попытке овладеть таким большим объемом сложных данных.

Данная статья представляет собой конспект переведенной информации, содержащейся в MITRE ATT&CK. Ее цель состоит не в детализированном описании каждой отдельной техники вместе с методами противодействия, а в создании целостной системы представлений, позволяющей эффективно ориентироваться в многообразии техник. В рамках текущего обзора сосредоточимся исключительно на тактике Reconnaissance.

В данном обзоре были исключены второстепенные детали, которые казались очевидными. Решение о необходимости пояснения той или иной подтехники принималось автором субъективно.

Замечание:
Без понимания базовых принципов и терминов MITRE ATT&CK изучать внутреннее содержание будет малоэффективно. Поэтому перед погружением в детальное рассмотрение рекомендую начать с ознакомления с официальным FAQ MITRE ATT&CK либо обратиться к любому другому доступному источнику, с базовыми понятиями и принципами. Хорошим стартовым материалом может быть перевод официального FAQ MITRE ATT&CK / Хабр.

Общий обзор

Reconnaissance (Разведка), это первая тактика в таблице, согласно которой злоумышленник пытается собрать информацию, используемую в будущем для планирования будущих операций.

Разведка включает в себя методы активного или пассивного сбора информации, которая может быть использована для определения целей для атаки. Такая информация может включать в себя сведения об организации‑жертве, инфраструктуре или сотрудниках/персонале. Злоумышленники могут использовать эту информацию на других этапах своего жизненного цикла, например, для планирования и осуществления первоначального доступа, определения целей после взлома и их приоритизации, а также для проведения дальнейшей разведки.

Разведка включает в себя 10 основных техник с множеством подтехник:

• Active Scanning (Активное сканирование);

• Gather Victim Host Information (Сбор информации о хостах жертвы);

• Gather Victim Identity Information (Сбор информации о личности жертвы);

• Gather Victim Network Information (Сбор информации о сети жертвы);

• Gather Victim Org Information (Сбор информации об организации);

• Phishing for Information (Получение информации с помощью фишинга);

• Search Closed Sources (Поиск по закрытым источникам);

• Search Open Technical Databases (Поиск по открытым техническим базам данных);

• Search Open Websites/Domains (Поиск открытых веб‑сайтов/доменов);

• Search Victim‑Owned Websites (Поиск веб‑сайтов, принадлежащих жертвам).

Важно понимать, что техники могут пересекаться, например, многие техники по сбору информации могут выполняться с помощью фишинга или активного сканирования.

Практически все методы нейтрализации (митигации) техник разведки сводятся к контрмере Pre‑compromise, она включает в себя упреждающие действия и средства защиты, которые не позволяют злоумышленникам успешно выявлять и использовать уязвимости на этапах разведки и подготовки ресурсов. Эти действия направлены на сокращение поверхности атаки в организации, выявление подготовительных действий злоумышленников и усложнение для них проведения успешных операций, может быть реализовано с помощью следующий действий:

• ограничивать доступ к публичной информации;

• использовать мониторинг открытых источников (OSINT);

• обеспечивать безопасность доменов и DNS‑инфраструктуры;

• проводить внешний мониторинг сетей и ресурсов;

• применять системы обнаружения угроз и анализа вредоносной активности;

• защищать электронную почту и контент от атак;

• регулярно повышать осведомленность сотрудников о рисках кибератак.

Противодействие разведке представляет значительную сложность, однако ключевая задача состоит в максимальном сокращении объема полезной информации, доступной преступникам.

Детальное описание:

Т1595 Active Scanning (Активное сканирование)

Техника, подразумевающая прямое взаимодействие с инфраструктурой жертвы. Злоумышленники могут выполнять активное сканирование для изучения инфраструктуры жертвы с помощью сетевого трафика. В дальнейшем полученная информация может быть использована при планировании других видов разведки, определения оперативных ресурсов и/или первоначального доступа.

Злоумышленники могут применять различные формы активного сканирования, на основании чего выделяют 3 подтехники:

• 001 Scanning IP Blocks (Сканирование блоков IP);

• 002 Vulnerability Scanning (Сканирование уязвимостей);

• 003 Wordlist Scanning (Сканирование по словарю):
  метод перебора с использованием готовых словарей для выявления потенциальных точек входа или скрытых ресурсов системы.

Меры противодействия: pre‑compromise.

T1592 Gather Victim Host Information (Сбор информации о хостах жертвы)

Злоумышленник может собирать административные данные (имя, IP-адреса, функциональность, и т.д.), а также данные о конфигурации хоста (операционная система, язык и так далее). Такая информация может быть использована для других видов разведки, создания оперативных ресурсов

Сбор информации о хостах жертвы может быть выполнен с помощью компрометации веб-ресурсов и внедрения на них вредоносный код, который собирает данные о хостах пользователей, посещающих эти сайты. Помимо этого, сведения о хостах жертв доступны через различные онлайн-базы данных и общедоступные источники, включая социальные сети и корпоративные веб-сайты целевых организаций.

Ещё один способ получения данных о хостах заключается в анализе HTTP-заголовков User-Agent, которые браузер автоматически передаёт серверу при обращении к веб-ресурсу. Эти заголовки раскрывают информацию о клиентском приложении, операционной системе, производителе устройства и версиях программного обеспечения. Эту информацию можно использовать для дальнейших шагов, например, злоумышленники могут проверять пользовательские агенты на наличие запрашивающей операционной системы, а затем предоставлять вредоносное ПО только для целевых операционных систем, игнорируя остальные.

Подтехники определяются характером собираемой информации:

• 001 Hardware (Аппаратное обеспечение);

• 002 Software (Программное обеспечение);

• 003 Firmware (Прошивка);

• 004 Client Configurations (Конфигурации клиента):
  информация о конфигурациях клиента может включать различные детали и настройки, включая операционную систему/версию, виртуализацию, архитектуру (например, 32 или 64 бита), язык и/или часовой пояс.

Меры противодействия: pre‑compromise.

T1589 Gather Victim Identity Information (Сбор информации о личности жертвы)

Злоумышленники осуществляют сбор персональных сведений о потенциальных жертвах для подготовки целенаправленных атак. Такие данные могут охватывать широкий спектр информации — от базовых личных сведений вроде ФИО сотрудников, адресов электронной почты и ответов на секретные вопросы до критически важной конфиденциальной информации, включая учётные записи и параметры настройки многофакторной аутентификации.

Сбор информации возможен с помощью других техник или через общедоступные интернет-площадки и различные открытые источники данных (Например, через социальные сети и веб‑сайты, принадлежащие жертвам).

Подтехники определяются характером собираемой информации:

• 001 Credentials (Учетные данные);

• 002 Email Addresses (почтовые адреса);

• 003 Employee Names (Имена сотрудников);

Меры противодействия: pre‑compromise.

T1590 Gather Victim Network Information (Сбор информации о сети жертвы)

Злоумышленник может собирать информацию о сети жертвы, которая может быть использована во время атаки. Информация о сети может включать различные детали, такие как административные данные (например, диапазоны IP‑адресов, доменные имена и так далее), а также специфические данные о топологии и операциях сети.

Информация о сетях также может быть доступна злоумышленникам через онлайн‑ или другие общедоступные базы данных (Например, поиск в открытых технических базах данных). Сбор этой информации может открыть возможности для других форм разведки, создания оперативных ресурсов и/или получения первоначального доступа.

Подтехники определяются характером собираемой информации:

• 001 (Domain Properties) Свойства домена;

• 002 DNS;

• 003 Network Trust Dependencies (Зависимости сетевого доверия);

• 004 Network Topology (Топология сети);

• 005 IP Addresses (IP‑адреса);

• 006 Аппаратура сетевой безопасности (Network Security Appliances).

Меры противодействия: pre‑compromise.

T1591 Gather Victim Org Information (Сбор информации об организации)

Злоумышленник может собирать информацию об организации, которая может быть использована во время атаки. Информация об организации может включать различные детали, включая названия подразделений/департаментов, специфики бизнес‑процессы, а также роли и ответственности ключевых сотрудников.

Злоумышленники могут собирать эту информацию различными способами, например напрямую запрашивать её с помощью с помощью фишинга. Информация об организации также может быть доступна злоумышленникам через онлайн‑ресурсы или другие доступные наборы данных (например, социальные сети или веб‑сайты, принадлежащие жертве). 

Подтехники определяются видами фишинга:

• 001 Determine Physical Locations (Определение физических местоположений);

• 002 Business Relationships (Бизнес-отношения):
  информация о бизнес-отношениях организации может включать различные детали, включая организации второго или третьего уровня/домены (например, провайдеры управляемых услуг, подрядчики и т.д.), которые имеют доступ (и потенциально повышенные привилегии) к сети;

• 003 Identify Business Tempo (Определение бизнес-расписания):
  информация о бизнес-расписании может включать различные детали, включая рабочие часы/дни недели;

• 004 Identify Roles Определение ролей:
  Информация о бизнес-ролях может раскрывать различные детали, на которые можно нацелиться, включая идентифицирующую информацию о ключевых сотрудниках, а также о том, к каким данным/ресурсам у них есть доступ.

Меры противодействия: pre-compromise

T1598 Phishing for Information (Получение информации с помощью фишинга)

Злоумышленники могут рассылать фишинговые сообщения, чтобы получить конфиденциальную информацию. Фишинг с целью получения информации — это попытка обманом заставить жертву раскрыть данные, часто учетные данные или другую полезную информацию. Получение информации с помощью фишинга отличается от аналогичной тактики фишинг из техники “первоначальный доступ” тем, что его целью является сбор данных у жертвы, а не выполнение вредоносного кода.

Все формы фишинга — это социальная инженерия, осуществляемая с помощью электронных средств. В более широком смысле злоумышленники могут проводить нецелевой фишинг, например в рамках массовых кампаний по сбору учетных данных. Разновидность фишинга, нацеленная на конкретного человека, группу или организацию известна как "спирфишинг" (spearphishing). В контексте разведки, предшествующей атаке на организацию, в рамках фреймворка MITRE ATT&CK чаще всего употребляется термин "спирфишинг", хотя в русскоязычных кругах он, кажется, не получил широкого распространения.

Фишинг предполагает манипулирование жертвами с помощью различных методов социальной инженерии, такие как выдача себя за источник, собирающий информацию (например, создание учётных записей или взлом учётных записей), и/или отправка множества сообщений, которые кажутся срочными. Другой способ добиться этого — подмена отправителя электронной почты с целью обмануть как получателя-человека, так и автоматизированные средства защиты.

Подтехники определяются видами фишинга:

• 001 Spearphishing Service (Фишинг через сервис):
  отправка фишинговых сообщений через сторонние сервисы;

• 002 Spearphishing Attachment (Фишинг через вложение):
  сообщения с вредоносным вложением;

• 003 Spearphishing Link (Фишинг через ссылку):
  ссылки на вредоносный ресурс;

• 004 Spearphishing Voice (голосовой фишинг/вишинг):
  попытка обманом заставить жертву предоставить данные через голосовые коммуникации.

Меры противодействия:

• механизмы защиты от подмены и аутентификации электронной почты для фильтрации сообщений;

• pre-compromise, ключевой частью которого выступает регулярное обучение сотрудников.

T1597 Search Closed Sources (Поиск по закрытым источникам)

Злоумышленники могут искать и собирать информацию о потенциальных жертвах из закрытых источников, таких как платные, частные или иные базы данных, не доступные публично. Подобную информацию можно приобрести как в авторитетных специализированных сервисах и базах данных, так и посредством подписки на платные каналы, предоставляющие техническую информацию или данные об угрозах.

Злоумышленники могут осуществлять поиск в различных закрытых базах данных, в зависимости от типа необходимой информации. Важно отметить, что подобные источники не всегда являются нелегитимными: доступ к данным о конкретных лицах возможен через легальные сервисы, например через RocketReach и CrunchBase.

Подтехники определяются по источникам получения закрытой информации:

• 001 Threat Intel Vendors (поставщики информации о киберугрозах):
  поставщики информации об угрозах могут предлагать платные каналы или порталы, на которых доступно больше данных, чем в открытом доступе;

• 002 Purchase Technical Data (покупка технической информации):
  информация о жертвах может быть доступна для покупки в авторитетных частных источниках и базах данных, например при платной подписке на каналы баз данных сканирования или других сервисов агрегации данных. Злоумышленники также могут приобретать информацию в менее авторитетных источниках, таких как даркнет или черные рынки киберпреступности.

Меры противодействия: pre-compromise

Т1596 Search Open Technical Databases (Поиск по Открытым Техническим базам данных)

Злоумышленники могут искать в общедоступных технических базах данных информацию о жертвах, которая может быть доступна в онлайн-базах данных и репозиториях, например при регистрации доменов/сертификатов, а также в общедоступных коллекциях сетевых данных/артефактов, собранных в результате анализа трафика и/или сканирования.

Подтехники определены типами используемых ресурсов

• 001 DNS/Passive DNS (DNS/Пассивный DNS ):
  данные DNS могут включать в себя различные сведения, в том числе зарегистрированные серверы имен, а также записи, определяющие адресацию поддоменов, почтовых серверов и других хостов;

• 002 WHOIS:
  данные WHOIS хранятся в региональных интернет-регистратурах (RIR), которые отвечают за распределение и назначение интернет-ресурсов, таких как доменные имена. Любой может запросить у серверов WHOIS информацию о зарегистрированном домене, например о назначенных IP-блоках, контактной информации и DNS-серверах;

• 003 Digital Certificates (Цифровые сертификаты):
  сертификаты, например те, которые используются для зашифрованного веб-трафика (коммуникации HTTPS SSL/TLS), содержат информацию о зарегистрированной организации, такую как название и местоположение;

• 004 CDNs:
  злоумышленники могут искать в сетях доставки контента (CDN) данные о жертвах, которые можно использовать для таргетинга. Сети CDN позволяют организациям размещать контент на распределенных серверах с балансировкой нагрузки. Сети CDN также позволяют организациям настраивать доставку контента в зависимости от географического региона пользователя;

• 005 Scan Databases (Сканирование баз данных):
  различные онлайн-сервисы постоянно публикуют результаты сканирования/опросов в интернете, часто собирая такую информацию, как активные IP-адреса, имена хостов, открытые порты, сертификаты и даже баннеры серверов.

Меры противодействия: pre-compromise

T1593 Search Open Websites/Domains (Поиск открытых веб-сайтов/доменов)

Злоумышленники свободно исследуют общедоступные веб-сайты и домены в поисках сведений о жертвах, которые могут быть использованы в ходе атак. Информация о потенциальных мишенях доступна на разных онлайн-ресурсах, включая социальные сети, новостные издания или площадки, размещающие сведения о коммерческой деятельности компаний, например объявления о вакансиях или запросы на тендеры.

Выбор площадок зависит от целей злоумышленника. Полученная таким образом информация может способствовать дальнейшему сбору разведданных (например, фишингу или поиску открытых технических баз данных), созданию инфраструктуры операций (таких, как создание аккаунтов или компрометация учетных записей) либо первичному доступу к сетям жертвы (например, через внешние удаленные сервисы или фишинговые атаки).

• 001 Social Media (Социальные сети)

• 002 Search Engines (Поисковые системы)

• 003 Code Repositories (Открытые репозитории кода)

Меры противодействия:

• Разработчики приложений, публикующие код в общедоступных репозиториях, должны соблюдать осторожность и не публиковать конфиденциальную информацию, такую как учетные данные и ключи API.

• Перед внесением изменений в общедоступные репозитории кода проверьте, не раскрыты ли в них учетные данные или другая конфиденциальная информация. Убедитесь, что все раскрытые учетные данные удалены из истории коммитов, а не только из последней версии кода.

T1594 Search Victim-Owned Websites (Поиск веб-сайтов, принадлежащих жертвам)

Злоумышленники могут анализировать сайты, принадлежащие жертве, для поиска данных, полезных при подготовке атаки. Такие сайты зачастую раскрывают широкий спектр подробностей: названия подразделений и филиалов, физические адреса офисов, информацию о ключевых сотрудниках (ФИО, должности, контактные данные, включая email-адреса), а также подробности о структуре бизнеса и деловых связях компании.

Помимо непосредственного визуального осмотра веб-сайта, злоумышленники могут активно пытаться выявить скрытые каталоги или файлы, которые могут содержать дополнительную чувствительную информацию или уязвимые компоненты. Эта деятельность нередко осуществляется с помощью автоматизированных средств, таких как сканирование по словарю, а также посредством анализа служебных файлов, таких как sitemap.xml, robots.txt и аналогичных метаданных ресурса.

Меры противодействия: pre-compromise

Итоговые тезисы

В заключение тезисно хочу пробежаться по материалу, что все таки стоит для себя отметить специалисту по информационной безопасности

Разведка — первичный этап атаки. Однако сама атака не развивается последовательно от одной тактики к другой. Многие техники разведки могут применяться на более поздних этапах. Например, после проникновения в сеть организации выполняется сбор информации о сети и хостах жертвы.

Техники разведки взаимозависимы: Они часто пересекаются и дополняют друг друга. Часто одна техника применяется для более качественного выполнения другой. Например, сбор информации о личности жертвы необходим для эффективной организации фишинговых атак.

Легитимные и нелегитимные методы. Однако сами методы сбора информации могут различаться: некоторые из них технически не нарушают законодательство, например, анализ открытых источников, официальных публикаций и легальный доступ к базам данных. Другие методы, напротив, однозначно признаются незаконными, такими как фишинг, взлом, хищение данных и обращение к запрещенным ресурсам в теневом сегменте интернета (даркнет).

Противодействие разведке затруднено. Обычно оно сводится к ограничению доступа к конфиденциальной информации и предотвращению утечек, вызванных недостаточной грамотностью сотрудников в области информационной безопасности.

Обнаружение: Обнаружение активности на этапе разведки довольно затруднительно. Многие действия, совершаемые при выполнении соответствующих техник, могут быть широко распространены и вызывать значительное число ложных срабатываний, а также потенциально протекать вне зоны видимости целевой организации, что осложняет их идентификацию.

Тем не менее, в ряде случаев полезным оказывается отслеживание подозрительного сетевого трафика, который может сигнализировать о действиях злоумышленников. Примерами такого поведения могут быть быстрые последовательности запросов, указывающие на сканирование веб-страниц, или большой объём запросов, поступающих из одного источника (особенно если ранее было установлено, что данный источник ассоциируется с действиями злоумышленников). Анализ веб-метаданных также способен выявить следы, указывающие на возможную вредоносную активность, такие как нестандартные значения полей HTTP(S)-заголовков (например, реферер или user-agent).